Az üzenetkezelő alkalmazás valóban biztonságos?
Az üzenetkezelő alkalmazások az egyik legnagyobb, ha nem a a legfontosabb alkalmazások, amelyeket naponta használunk. Függetlenül attól, hogy kapcsolatban marad-e a családdal és a barátaival szerte a világon, lépjen kapcsolatba munkatársaival, vagy futtassa az üzleti műveleteket, az olyan üzenetkezelő alkalmazások, mint a WhatsApp, az iMessage, a Skype és a Facebook Messenger fontos szerepet játszanak mindennapi kommunikációnkban.
Gyakran megosztjuk az olyan üzeneteket, mint a személyes képek, üzleti titkok és jogi dokumentumok az üzenetek alkalmazásain, olyan információkat, amelyeket nem akarunk a rossz emberek rendelkezésére bocsátani. De mennyire bízhatunk az üzenetkezelő alkalmazásainkban, hogy megvédjünk minden bizalmas üzenetünket és érzékeny információkat?
Az alábbiakban néhány olyan útmutatót olvashat, amely segít a kedvenc üzenetkezelő alkalmazás által biztosított biztonsági szint értékelésében.
Néhány szó a titkosításról
Természetesen minden üzenetkezelő platform titkosítja az adatait. A titkosítás matematikai egyenleteket használ az átmeneti adatok összekeveréséhez, hogy megakadályozza, hogy a lehallgatók le tudják olvasni az üzeneteit.
A megfelelő titkosítás gondoskodik arról, hogy csak a küldő és az üzenet fogadója tisztában legyen annak tartalmával. Azonban nem minden típusú titkosítás egyenlő.
A legbiztonságosabb üzenetrögzítő alkalmazások azok, amelyek végpontok közötti titkosítást kínálnak (E2EE). Az E2EE alkalmazások csak a felhasználók készülékein tárolják a titkosítási kulcsokat. Az E2EE nem csak védi a kommunikációt a lehallgatók ellen, hanem azt is biztosítja, hogy az alkalmazást fogadó vállalat nem tudja olvasni az üzeneteit. Ez azt is jelenti, hogy az üzeneteidet a három betűs ügynökségek védik az adatvesztésektől és beavatkozó garanciáktól.
Egyre több üzenetkezelő alkalmazás nyújt end-to-end titkosítást. A Signal az egyik első platform, amely támogatja az E2EE-t. Az utóbbi években a többi alkalmazás elfogadta a Signal titkosítási protokollját, vagy saját E2EE technológiát fejlesztett ki. Ilyenek például a WhatsApp, a Wickr és az iMessage.
A Facebook Messenger és a Telegram támogatja az E2EE-üzeneteket, bár ez alapértelmezés szerint nem engedélyezett, ami kevésbé biztonságos. A Skype a közelmúltban hozzáadta a „Privát beszélgetést” opciót, amely végeredményben titkosítást biztosít az Ön által választott beszélgetésben.
A Google Hangouts szolgáltatásai nem támogatják a végpontok közötti titkosítást, de a cég Allo és Duo, szöveges üzeneteket és videokonferencia-alkalmazásokat kínál, amelyek végpontig titkosítottak.
Üzenet törlése
Több a biztonság, mint az üzenetek titkosítása. Mi van akkor, ha a készüléke vagy a csevegett személy eszköze csapkodott vagy rossz kezébe esik? Ebben az esetben a titkosítás kevéssé hasznos, mert a rosszindulatú szereplő képes lesz titkosítatlan formátumú üzeneteket látni.
Az üzenetek védelmének legjobb módja az, hogy megszabaduljon tőlük, ha már nincs szüksége rájuk. Ez biztosítja, hogy még akkor is, ha a készülék veszélybe kerül, a rosszindulatú szereplők nem férnek hozzá a bizalmas és érzékeny üzenetekhez.
Valamennyi üzenetkezelő alkalmazás valamilyen formátumú üzenet törlést biztosít, de ismét nem minden üzeneteltávolítási funkció egyformán biztonságos.
A Hangouts és az iMessage például lehetővé teszi, hogy törölje a csevegési előzményeket. Míg az üzenetek eltávolításra kerülnek a készülékről, azok az emberek készülékein maradnak, akikkel beszélgetett.
Ezért, ha az eszközök veszélybe kerülnek, még mindig elveszíti az érzékeny adatait. Hitelére a Hangouts lehetőséget kínál a csevegési előzmények letiltására, amely minden egyes üzenet után automatikusan eltávolítja az összes eszközről érkező üzeneteket.
A Telegram, a Signal, a Wickr és a Skype programban a beszélgetés minden résztvevője törölheti az üzeneteket. Ez biztosíthatja, hogy az érzékeny kommunikáció ne maradjon a beszélgetésben résztvevő készülékek egyikében sem.
A WhatsApp 2017-ben is hozzáadta a „mindenkinek törlése” opciót, de csak az elmúlt 13 órában küldött üzenetek törlésére használható. A Facebook Messenger a közelmúltban is hozzáadott egy „unsend” funkciót, bár az üzenet elküldése után csak 10 percig működik.
A Signal, a Telegram és a Wickr egy önmegsemmisítő üzenetet is biztosít, amely azonnal beállítja az összes eszközről érkező üzeneteket egy beállított időtartam után. Ez a funkció különösen érzékeny az érzékeny beszélgetésekre, és megmenti az üzenetek kézi törlésével kapcsolatos erőfeszítéseket.
Metaadatok
Minden üzenethez tartozik egy kiegészítő információ, amelyet metaadatoknak is neveznek, mint például a küldő és a vevő azonosítói, az üzenet elküldésének, fogadásának és olvasásának ideje, IP-címek, telefonszámok, eszközazonosítók stb..
Az üzenetkezelő szervek tárolják és feldolgozzák az ilyen jellegű információkat, hogy megbizonyosodjanak arról, hogy az üzenetek a megfelelő címzetteknek és időben érkeznek-e, és hogy a felhasználók böngészhessenek és szervezhessék a csevegési naplóikat.
Míg a metaadatok nem tartalmaznak üzenetszöveget, rossz kezükben, ez nagyon káros lehet, és sokat fedhet fel a felhasználók kommunikációs mintáiról, mint például a földrajzi elhelyezkedésükről, az alkalmazások használatának időpontjairól, azokkal az emberekről, akiket kommunikálnak, stb..
Abban az esetben, ha az üzenetküldési szolgáltatás áldozatává válik az adatok megsértése, az ilyen jellegű információk kiépíthetik a számítógépes adathordozókat, mint például az adathalászat és más szociális mérnöki rendszerek..
A legtöbb üzenetkezelési szolgáltatás rengeteg metaadatot gyűjt, és sajnos nincs biztos módja annak, hogy tudják, milyen típusú információs üzenetek tárolhatók. De amit tudunk, a Signal a legjobb eredményeket érte el. A vállalat szerint szerverei csak azt a telefonszámot regisztrálják, amellyel létrehozta fiókját, és azt a napot, amikor bejelentkezett a fiókjába.
Átláthatóság
Minden fejlesztő megmondja, hogy az üzenetek alkalmazás biztonságos, de hogyan lehet biztos benne? Honnan tudod, hogy az alkalmazás nem rejti el a kormány által beültetett hátsó ajtót? Honnan tudja, hogy a fejlesztő jó munkát végzett az alkalmazás tesztelése során?
Az alkalmazások nyilvánosan hozzáférhetővé teszik alkalmazásuk forráskódját, más néven „nyílt forráskódú”, megbízhatóbbak, mivel a független biztonsági szakértők megvizsgálhatják és megerősítik, hogy biztonságosak-e vagy sem.
A Signal, a Wickr és a Telegram nyílt forráskódú üzenetkezelő alkalmazások, ami azt jelenti, hogy független szakértők értékelték őket. A Signal különösen olyan biztonsági szakértők támogatásával rendelkezik, mint Bruce Schneier és Edward Snowden.
A WhatsApp és a Facebook Messenger zárt forrás, de a nyílt forráskódú jelprotokollal üzeneteiket titkosítják. Ez azt jelenti, hogy legalább biztos lehet benne, hogy a Facebook, amely mindkét alkalmazást birtokolja, nem fogja vizsgálni az üzeneteinek tartalmát.
Teljesen zárt forráskódú alkalmazásoknál, például az Apple iMessage-ben, teljesen el kell bízni a fejlesztőt, hogy elkerülje a katasztrofális biztonsági hibákat.
Ahhoz, hogy világos legyen, a nyílt forráskód nem jelenti az abszolút biztonságot. De legalább meggyőződhet róla, hogy az alkalmazás nem rejteget semmit csúnya alatt a motorháztető alatt.